Security in een SMACT wereld

  1. 15 dec 2015
  2. 0 reacties

001

Het is er in 2015 niet makkelijker op geworden. Tenzij je een cybercrimineel bent. Met de opkomst van nieuwe technologieën zijn er steeds meer doelen waar je je pijlen op af kan schieten. En dan leveren diezelfde nieuwe technologieën weer allerlei nieuwe wapens op, waar het steeds eenvoudiger wordt om die doelen te raken. En met de doorzettende digitalisering van burger en organisatie valt er ook nog eens steeds meer buit te behalen.

Voor de slachtoffers onder bedrijven en instellingen – de niet-slachtoffers zijn duidelijk in de minderheid of hebben het nog niet door – wordt nieuwe technologie steeds meer een hoofdpijndossier. De snelheid waarmee veel organisaties de cloud, slimme mobiele toepassingen, big data, sociale media en het Internet of Things omarmen, lijkt niet of nauwelijks bij te benen. Met zoveel openstaande ramen en achterdeuren, houd je de voordeur alleen nog maar dicht om te voorkomen dat het gaat tochten. Toch? Maar ja, als het misgaat, kan je er in 2016 ook nog eens een flinke boete voor krijgen. Vandaar dat dit jaaroverzicht zich volledig op SMACT richt.

De S van ‘Social’

Mogelijk ben ik met mijn 45 jaren te oud, maar ik zie eigenlijk maar weinig vernieuwingen op het gebied van sociale media. Ook op het gebied van sociale cybercrime, staat de innovatie stil. Anoniem treiteren is een groot probleem, maar kennen we al de nodige tijd. Dat sociale media gebruikt worden om persoonlijke informatie te oogsten ten behoeve van bijvoorbeeld spam en spearfishing, is ook niet nieuw. En het gebrek aan voorzorgsmaatregelen dat gebruikers bereid zijn te nemen, is ook niet nieuw. Er is wel steeds meer aandacht voor training rond zorgvuldig gebruik van sociale media binnen, met op zijn best gemengde resultaten. Jonge medewerkers blijven wat je ook probeert onvoorzichtig en oudere werknemers vooral onkundig. In 2016 zal daar waarschijnlijk niet zoveel in veranderen. Natuurlijk blijft het een belangrijk aandachtspunt, maar laten we maar snel naar de M gaan.

De M van ‘Mobile’

Het gebruik van slimme, mobiele apparatuur is nog altijd een recent fenomeen, maar is zo breed doorgedrongen dat dit veel mensen ontgaat. Vanuit een security-perspectief zal er ook in 2016 behoorlijk geworsteld worden met de mobilisering van de werkplek. Maar 1 op de 3 Nederlandse bedrijven geeft aan over voldoende kennis te beschikken om het gebruik van mobiele apparatuur adequaat te beveiligen. Waar enkele jaren geleden de laptop en de USB-stick de belangrijkste risico’s vormden, is het aantal apparaten dat zich buiten de firewall waagt, geëxplodeerd. Veel IT beveiligers komen echter nog maar net uit de fase van verbieden en zijn in 2015 gaan reguleren. Maar ze zijn nog heel erg op zoek naar welke beveiligingstechnologie ze het beste kunnen gebruiken. Ook aan de leverancierskant gaan de ontwikkelingen nog zeer snel en is het aanbod lang niet altijd even volwassen.

De A van ‘Analytics’

In analytics zit juist een belangrijk deel van de oplossing voor veel security-problemen in 2016. Enerzijds zijn er (al heel lang) de analytics die security leveranciers gebruiken om bedreigingen in kaart te brengen en filters up-to-date te houden, op basis van de gebruiksdata van enorme aantallen gebruikers. Hoewel hierdoor veel aanvallen worden voorkomen, is het ook een methode die per definitie achter de feiten aan loopt. Analytics nemen echter ook een steeds grotere rol in bij het bestrijden van gerichte en complexe aanvallen. De huidige generatie SIEM-tools is niet alleen in staat om events en incidenten te loggen, maar ook om (deels) real-time geautomatiseerd te reageren op gebeurtenissen. Voor steeds meer organisaties wordt dit een bittere noodzaak, met als positieve bijkomstigheid dat veel SIEM-oplossingen goed van pas komen om aan eisen van regelgevers te voldoen. Hoe SIEM-oplossingen worden ingezet, gaat ook veranderen. Steeds minder organisaties beschikken over eigen Security Operations Centers. Ze besteden het steeds vaker uit, of verwachten juist meer intelligentie van de tools zelf.

De C van ‘Cloud’

De impact van de cloud op IT security is groot. Waar met “mobile” de end-point zich buiten de muren van de organisatie bevindt, bevindt met de cloud de back-end zich buiten de organisatie. Ook hier geldt dat maar één op de drie organisaties zegt over voldoende kennis te beschikken om het cloudgebruik adequaat te beveiligen. En intussen neemt het gebruik snel toe. In de meeste gevallen blijkt security geen groot probleem te vormen en eerder te verbeteren dan de verslechteren. Maar we zien ook dat wet- en regelgevers zich steeds meer met databeveiliging bezighouden. Het ongeldig verklaren van het Safe Harbourverdrag laat zien dat je als organisatie voorzichtig om dient te gaan met de locatie van je data. Natuurlijk gaat er een nieuw verdrag tot stand komen en zijn er mogelijkheden om via standaard contracten met Amerikaanse locaties te blijven werken. Maar in combinatie met de nieuwe privacy wetgeving, zullen veel Nederlandse organisaties in 2016 veel voorzichtiger dienen te gaan handelen dan ze de gewend waren.

En dan hebben we nog Cybercrime as a Service. CyaaS is geen nieuw fenomeen. Al jaren kan je voor enkele honderden dollars een DDOS-bot aanschaffen. Als je meer te besteden hebt, kan je ook “veilig” lekker spammen. Nieuw is dat je nu ook cybercrime als bijbaantje (CyaaB) kan nemen als je vakkenvullen te vermoeiend vindt. Al voor 50$ is het mogelijk om toegang te krijgen tot een Cryptolockerservice. Enige kennis van IT is niet nodig. Vervolgens vraagt de aanbieder van deze ransomwaredienst 10% van het verdiende losgeld. Nou, die 50$ kan je nog wel van je moeder lenen.

De T van ‘Things’

Het Internet der Dingen creëert een prachtig nieuw speelveld voor de cybercrimineel. En ook voor de crimineel komen daarbij de fysieke criminaliteit en digitale criminaliteit in elkaars verlengde te liggen. Tot nog toe blijken veel IoT-oplossingen eenvoudig te kraken. In Nederland worden per dag gemiddeld 35 auto’s gestolen door het beveiligingssysteem te hacken. Het systeem blijkt al snel gekraakt te worden na de introductie van het systeem op de markt, waarna juist dit beveiligingssysteem tot het grootste risico op diefstal leidt. In een ronde tafel over nieuwe technologie in de zorgsector, vertelden ziekenhuizen dat ze al die mooie nieuwe apparatuur van Philips vooral niet op het Internet aansluiten, omdat dat al tot de nodige incidenten heeft geleid en ze zich dergelijke risico’s niet kunnen veroorloven. Zo kunnen we nog wel een tijdje doorgaan. Het concept security by design moet in 2016 heel snel boven aan de agenda komen en dan nog zullen we er rekening mee moeten houden dat IoT-apparatuur vaak veel langere levenscycli heeft dan IT-apparatuur.

De H van ‘Hoop’

De technologische vernieuwing gaat in een hoog tempo door. Om dit veilig te realiseren, lijkt een ongelijke strijd. Toch is er hoop. Gemiddeld genomen neemt het aantal security-incidenten af bij bedrijven die een cloudoplossing in gebruik hebben genomen. Dat zag Pb7 dit jaar zowel in de Nationale EuroCloud Monitor als de MKB Cloud Barometer (in opdracht van Exact en KPN). Juist door de IT beveiliging over te laten aan een gespecialiseerde leverancier, blijft de veiligheid op niveau. Uiteraard dien je dan wel weer zelf zaken als IAM goed op orde te krijgen.

Dat leidt wel weer tot een volgende vraag: doen organisaties wellicht nog altijd teveel zelf op het gebied van security? Wanneer kan je er niet meer omheen om van de schaalvoordelen van marktpartijen en samenwerkingsverbanden gebruik te maken? En wat is dan de rol van de eigen IT beveiligers? In de praktijk zien we inderdaad een toenemende vraag naar managed security services en zijn zelfs steeds meer bedrijven bereid om de regie over de IT beveiliging met een derde partij te delen.

Doordat organisaties meer taken in handen leggen van derden, ontstaat er ruimte om de IT-security organisatie naar een hoger plan te tillen. Daarmee bedoelen we twee dingen:

  • Er ontstaat de ruimte om meer proactief naar dreigingen en het beheersen daarvan te kijken. De nadruk verschuift steeds meer van het zoeken naar bekende dreigingen naar het real time analyseren van gebeurtenissen op het netwerk. En ook het beschermen van de data zelf, in plaats van alleen de hekken er om heen, wordt steeds belangrijker als je er van uit gaat dat dataverlies onvermijdelijk is. Dan maar onbruikbare data.
  • En er ontstaat de ruimte om ook proactief binnen de organisatie met security om te gaan. Daarmee bedoelen we dat er op alle niveaus nauwer samen moet worden gewerkt binnen de organisatie: van IT beveiliging naar totale risicobeheersing, waarbij het uitgangspunt altijd de business impact is, inclusief compliance. Security dient overal voor in de keten te komen. IT-oplossingen moeten (echt) secure en private by design worden en IT security zal samen met de zakelijke beslissers op zoek moeten naar hoe de organisatie nieuwe technologie optimaal kan benutten.

Hoewel de noodzaak van deze verschuivingen steeds meer worden erkend, zien we maar een langzame verandering binnen Nederland. Het aantal echte CISO’s is op een paar handen te tellen, de nadruk van de investeringen blijft sterk op perimeterbewaking hangen en de kennis van nieuwe technologie neemt maar beperkt toe. Nu we naar een jaar toe gaan waar dataverlies verplicht inzichtelijk moet worden gemaakt, boetes zullen worden gaan uitgedeeld, IT nog belangrijker wordt voor de organisatie, cybercrime nog complexer en zelfs de terroristische cyberdreiging toeneemt, mag het allemaal wel wat sneller.

Peter Vermeulen is directer van Pb7 Research